Non. Cela fait un terrible gâchis de vos données.
Oui. Vous pouvez protéger votre code des injections SQL.
Voici une brève explication que j'ai déjà faite
Je dois seulement ajouter que vous ne devez pas gâcher vos tableaux de données source.
Le tableau POST n'a rien à voir avec SQL. Les données peuvent aller dans un e-mail, un formulaire HTML, un fichier, un service en ligne, etc. Pourquoi tout traiter avec une protection SQL ?
D'autre part, vous pouvez prendre vos données non pas de POST mais d'un fichier, en ligne service, autre requête.
Ainsi, vous devez protéger non pas les tableaux sources, mais les données réelles qui entrent dans la requête
En parlant de XSS, il n'y a pas encore de règle universelle simple.
Mais en général, vous devez utiliser htmlspecialchars($data,ENT_QUOTES); pour toutes les données non fiables que vous affichez sous forme de texte, et certains autres types de validations dans certains cas particuliers, comme les noms de fichiers
